13 мая 2018 в 13:23
Здравствуйте. Не успел выложить проект на хостинг, как сразу ломятся боты в админку.
Успел поставить только fail2ban на apache и ssh, сменить пароли, порты.
Но в админку самого друпала иногда пытаются залогиниться по admin.
(Ошибка входа в систему для пользователя admin. ИМЯ ХОСТА 5.79.90.40)
Вопрос следующий:
- Как можно скрыть админа в Друпал, чтобы не пытались боты подобрать пароль? (форма входа нужна, т.к. есть форум)
- Может быть стоит сделать юзера 1 не суперпользователем? А зарегистрировать несколько аккаунтов и сделать админом например пользователя №5? (если взломают user/1 там будет обычный юзер)
- Можно ли безопасно все права пользователя user/1 перенести на user/5? А пользователя /1 сделать простым юзером без прав?
Спасибо.
Комментарии
А зачем?
По хорошему, ты под первым юзером вообще сидеть не должен.
Можно, конечно, выполнить эту инструкцию https://www.drupal.org/node/947312
Там сказано
Но ведь имя пользователя все равно будет видно если зайти через user/1
То есть нужно создать нового админа, а user/1 отключить через drush или sql?
Новому админу можно будет все те же права дать в плане управления сайтом через админку?
Юзер без админских прав по такой ссылке должен увидеть 403. То есть имя админа никто не может узнать, но могут догадаться. Но даже если догадаются, то при достаточно сложном пароле это ничего не даст. Все сайты на всех цмс постоянно пытаются так сломать - стучатся под логином админ и паролем админ, кверти и т.д. Рассчитано это, откровенно говоря на лоха, так что если вы не лох, то и переживать нечего. На крайняк, смените пароль админа - вместо 1234 поставьте 123456.
Да, но если я сам юзер и почистил куки браузера, как я потом войду в админку? Мне же тоже будет 403?
А хотя Вы говорите про user/1 а не про /user. Значит войти можно будет.
Пароль у меня из 16 символов с капсом, цифрами, символами и т.д. Но дело в том, что говорят, что даже такие пароли со временем умудряются брутить (пол года -год, если очень надо взломать)
А как сделать 403 страницам администрации, есть мануал? Баню пока через iptables, но боты используют прокси..
Сперва попробуйте просмотреть под анонимным пользователем страницы администрирования. Это позволит вам избежать глупых вопросов.
Вместо admin пишите gjpjdbntyjdjctkmwtdf (позовитеновосельцева) и пароль пояростнее.
Гугл-каптчу ещё, юзеры и спамеры смирятся с ней, но боты точно отсекутся.
Капча вообще решает. Особенно, рекапча. Особенно, когда ркн её банит, особенно, когда на форме восстановления пароля тоже рекапча. Очень удобно - даже зная пароль, не смогут взломать.
Роскомпозор отдельная история, хорошо хоть гугл переводчик разбанили. Было невозможно переводить мануалы с d.org, через яндекс очень долго копировать-вставить...
<?php function user_access($string, $account = NULL) {global $user;
if (!isset(
$account)) {$account = $user;
}
// User #1 has all privileges:if ($account->uid == 1) {
return TRUE;
}?>
Не выйдет каменный цветок.
Расслабьтесь. Весь интернет заполнен автоматическими долбилками и они постоянно долбят все сайты и серверы по всем протоколам.
Есть два типа долбилок:
1. Подбор пароля. Это для тех кто поставил qwerty. Они работают по коротким словарям, поэтому абсолютно безопасны. Долбят в основном по входам в админку, ссх и фтп. Можно сменить порты и логины админов, но практического смысла в этом нет.
2. По уязвимостям. Эти долбилки намного опаснее, стоит зевнуть и не обновить сайт или ПО на хостинге...
Если посмотреть логи, то долбёжка как правило накатывает волнами: пришла одна долбилка, отработала по словарям, ушла, прошло время, пришла новая, повторить. НО! Если вы заметили, что ваш ресурс без перерыва долбят несколько дней подряд - это повод для беспокойства - скорее всего кому-то стали особенно интересны ваши серверные мощности или ещё какая-то информация.